Loading…
PDPA Сингапура — это продуманный и прагматичный закон о конфиденциальности, который существенно повзрослел после поправок 2020 года. Он использует подход на основе обязательств, а не перечисление правовых оснований, как в GDPR, имеет интегрированные правила прямого маркетинга через реестр Do Not Call и ограничивает штрафы на уровне 10% от оборота в Сингапуре. Для компаний со штаб-квартирой в АТР именно вокруг PDPA часто фактически выстраивается глобальная программа конфиденциальности.
| Параметр | 🇪🇺 GDPR | 🇸🇬 PDPA |
|---|---|---|
| Правовой инструмент | Регламент (ЕС) 2016/679 | Закон о защите персональных данных 2012 года (Закон № 26 от 2012 года); поправки 2020 года существенно его укрепили |
| Регулятор | 27 органов по защите данных государств-членов ЕС + EDPB | Комиссия по защите персональных данных (PDPC) |
| Структурный подход | Перечисление правовых оснований (ст. 6); основан на правах (Глава III) | Основан на обязательствах — 9 основных обязательств + режим Do Not Call + уведомление о нарушениях |
| Максимальный штраф | 20 млн евро или 4% мирового оборота (ст. 83(5)) | Предел S$1 млн; для организаций с годовым оборотом в Сингапуре более S$10 млн — до 10% годового оборота |
| Штраф нижнего уровня | 10 млн евро или 2% мирового оборота | Тот же предел за нарушение; варьируется в зависимости от типа нарушения |
| Модель согласия | Opt-in (одно из шести правовых оснований) | Обязательство по согласию + предполагаемое согласие (на основе уведомления) + исключение для законных интересов |
| Правовые основания | Шесть — согласие, договор, юридическое обязательство, жизненно важные интересы, выполнение задачи в общественных интересах, законные интересы | Согласие или одно из 13 предусмотренных законом исключений (Приложения 1–2) |
| Требование об уведомлении (согласие) | Уведомление о конфиденциальности в момент сбора | Обязательство по уведомлению — цель сообщается до или в момент сбора |
| Право на доступ | Статья 15 — подтверждение + копия в течение 1 месяца | Обязательство по доступу — в разумный срок, допускается взимание платы |
| Право на исправление | Статья 16 | Обязательство по исправлению |
| Право на переносимость | Статья 20 — структурированный, широко используемый формат | Да — добавлено поправками 2020 года |
| Право на удаление | Статья 17 | Подразумевается через обязательство об ограничении хранения; до 2020 года отдельного права на удаление не существовало |
| Требование о DPO | Обязательно в определенных случаях (Статья 37) | Обязательно для всех контролеров (Раздел 11(3) PDPA) — имя и контактные данные должны быть опубликованы |
| Уведомление о нарушениях | 72 часа для надзорного органа + уведомление субъектов при высоком риске | 72 часа для PDPC + уведомление затронутых лиц — порог: значительный вред ИЛИ 500+ лиц |
| Трансграничная передача | SCC, BCR, адекватность (Глава V) | Ограничение передачи — оценка сопоставимой защиты; договорные гарантии |
| Прямой маркетинг | Требуется правовое основание + правила ePrivacy | Обязательство в отношении реестра Do Not Call; архитектура согласия + отказа |
| Чувствительные данные | Статья 9 — данные особой категории, явное согласие + условие | Нет формальной чувствительной категории — обрабатывается через согласие для конкретной цели |
| Данные детей | Возраст по умолчанию — 16 лет (государства-члены могут снизить до 13) | До 13 лет — родительское согласие |
| Знак доверия в области защиты данных | Нет формальной схемы | Да — добровольная сертификация (PDPA DPTM) |
| Санкции начались | Май 2018 года | Материальные санкции начались в 2014 году; поправки 2020 года усовершенствовали структуру предельных значений |
В основном да. Добавьте DPO, назначенного в соответствии с Разделом 11(3), с общедоступными контактными данными, регистрируйте кампании прямого маркетинга в реестре DNC, где это применимо, обеспечьте уведомление о нарушениях в течение 72 часов для PDPC и проверьте гарантии Ограничения передачи для передачи данных за пределы Сингапура.
Сингапур ведет национальный реестр Do Not Call. Перед отправкой голосовых, SMS- или факсимильных телемаркетинговых сообщений на сингапурский номер организации должны проверить соответствующий реестр DNC (Voice, Text, Fax). Нарушения наказываются отдельно в соответствии с PDPA.
Добровольная сертификация, администрируемая IMDA. Подтверждает соответствие держателя требованиям PDPA — полезный сигнал доверия для B2B-продаж, особенно государственным и финансовым покупателям.
Умеренное, но последовательное. PDPC публикует решения о правоприменении и налагала штрафы в миллионы долларов на такие организации, как SingHealth (S$250 тыс.), Integrated Health Information Systems (S$750 тыс.), а также на различные маркетинговые организации за нарушения DNC.
Не строго. DPO должен быть доступен по опубликованному сингапурскому контакту, но не обязан быть резидентом Сингапура. RegulatoryBridge обычно назначает регионального DPO с присутствием в Сингапуре.
Сопоставьте средства контроля один раз, соответствуйте дважды. RegulatoryBridge предоставляет вам единый конвейер DSAR, единого DPO, единый план реагирования на нарушения — охватывающий обе системы.